No hay nada más fácil que pagar con el móvil. Sólo con acercar el dispositivo al lector NFC de la tienda, podemos realizar el pago de manera automática y salir con nuestra compra; y lo mejor, es que es un sistema seguro, que necesita de la identificación con nuestra huella dactilar u otro método. Pero ¿es tan seguro como debería?

Una campaña de ataques hacker que lleva activa desde noviembre de 2023 demuestra que no. Se basa en el 'malware' NGate, y sólo ha sido ahora que los investigadores de ciberseguridad de ESET han comprendido cómo funciona y lo han hecho público; y la mala noticia es que robar nuestras tarjetas de crédito y débito, y vaciar nuestra cuenta bancaria, es muy fácil.

NGate es un 'malware' capaz de capturar los datos que se transmiten a través de la conexión NFC; normalmente, este tipo de conexiones son difíciles de interceptar por su corto rango, que obliga al atacante a pasar un lector cerca de nuestro móvil cuando hacemos una compra o sacamos dinero en un cajero. 

NGate convierte nuestro móvil en un lector, capaz de obtener la información de tarjetas cercanas; para ello, se aprovecha de un componente de código abierto llamado NFCGate, que fue desarrollado para probar y experimentar con conexiones NFC.

El proceso de infección no es simple, pero si el usuario no tiene cuidado, puede caer en la trampa. Todo empieza con un proceso de 'phishing', en el que los hackers envían mensajes o hacen llamadas automatizadas a la víctima; también se han dado casos de publicidad maliciosa. El objetivo con todo este contacto es el mismo: convencer a la víctima de que se tiene que instalar una app en el móvil para proteger su cuenta bancaria.

Esta app maliciosa se hace pasar por la app oficial del banco de la víctima, copiando el icono y el nombre; la app no requiere de permisos adicionales, lo que da sensación de seguridad, pero en realidad es porque está abusando de la seguridad del navegador web para no pedirlos. Por supuesto, se trata de una app maliciosa que obtendrá nuestros datos de inicio en el banco y transferirá el dinero de nuestra cuenta a las de los atacantes. Pero el ataque no termina ahí.

Durante el proceso de instalación, se instala NGate, que a partir de entonces usará el NFC del móvil para capturar los datos de tarjetas cercanas; como por ejemplo, de las tarjetas de la gente que pase a nuestro lado por la calle. Con que estén lo suficientemente cerca como para realizar un pago, NGate será capaz de robar los datos.

NGate transmite esos datos al dispositivo del atacante, ya sea de manera directa o a través de un servidor. Con esa información, el atacante puede crear una copia virtual de la tarjeta y usarla para compras o para sacar dinero de un cajero. El PIN se obtiene usando 'ingeniería social': los hackers llaman a la víctima, dando los datos de la tarjeta para demostrar que son del banco, y le piden instalar una app que requiere del PIN para comprobar si le han robado dinero. El 'malware' también puede ser usado para copiar tarjetas de acceso a lugares de alta seguridad.

Este malware ya ha sido usado para realizar ataques contra usuarios de tres bancos de la República Checa, aunque por el momento, no hay indicios de que haya sido usado en España. La buena noticia es que la policía checa ya ha arrestado a uno de los cibercriminales en Praga; la mala es que este método puede expandirse a otros países.

Después de la publicación de los investigadores de seguridad, Google ha anunciado que Google Play Protect ya es capaz de detectar NGate en las apps disponibles en la tienda y en las que los usuarios se instalan, de manera automática. Por lo tanto, la mejor protección contra este ataque es evitar la instalación de apps de páginas sospechosas, especialmente si afirman ser de nuestro banco; hay que recordar que los empleados de los bancos nunca nos pedirán información como el número de PIN, ni nos pedirán instalar apps aparte de la que ya estemos usando.